M_Script, знакомое, но не могу вспомнить точно, это модер какой-то был на античате или вроде того?
Он. Тихий модер раздела "Социальные сети" и... один из лучших исследователей веб-безопасности в RU секторе, создатель уникальных векторов атак и авторских 0-day.
Объясните, что за дыра? Без шуток, реально не понимаю.
Вы задали вопрос, чтобы начать спорить или получить ответ?)
Способ, который позволяет залезть в голову пользователю в среде, которую контролирует разработчик - это дыра, которую разработчик не закрыл. Один только Google столько всего придумал против фишинга, что многие способы залезть в голову пользователю google, казавшиея вечными, перестали работать. Проблемы с фишинговыми ссылками решались по разному, например, варианты навскидку: 1. Подгрузка сайта по ссылке в небольшом фрейме в самом сообщении с переходом по всем редиректам вполне себе покажет, как выглядит конечная точка, без необходимости клика по ссылке. 2. Любая ссылка в мессенджере открывается только через промежуточный прокси адрес, вроде checklink.max.ru, который на 2-3 секунды задержит открытие ссылки, но предварительно проверит безопасность ссылки. 3.1 Проверять домен из ссылки на давность регистрации, указывая у новых доменов, что он зарегистрирован недавно. 3.2 Автоматически проверять ссылки на наличие редиректа, будь то редирект Location, или другой редирект, и помечать такие ссылки как сомнительные. 4. При запросе токена на авторизацию, проверять наличие и время активной сессии в момент запроса токена, и если активная сессия присутствует и время соответствует моменту отправки запроса, слать сообщение на номер телефона с уведомлением вроде, что пользователь уже авторизован в устройстве iPhone, и вводить код только в том случае, если пользователь пытается авторизоваться в другом устройстве. Что то в этом роде.
Это дыра? - Да. Ее можно закрыть? - Да. Дыра критичная? - Да, если судить по последствиям для жертвы. Нет, если судить по масштабу урона для Макса.
ps. Надеюсь, вы не Великий M_Script. Стиль письма похож.
Кстати, они там миллионы потому и зарабатывают, потому что это легко. Как только становится тяжело зарабатывать миллионы в одной сфере, то они бросают эту сферу и переходят в ту сферу, где все еще легко зарабатывать миллионы. У них нет цели тратить тыщу в месяц, если это не окупается в десятки раз. А меньшая окупаемость в этой сфере невыгодна.
Объясните, что за дыра? Без шуток, реально не понимаю.
Нет проверки Origin / Referer на /api/send-code
Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод
Нет серверного rate-limit’а по характеру источника
Нет push-подтверждения в активные сессии пользователя при попытке нового входа
Автор с пояснениями написал про эти уязвимости и как их закрыть.
Пояснение пункта 1 на практике.
На https://auth.mail.ru/cgi-bin/auth?mac=1 была такая уязвимость, что подключив этот адрес на своем сайте через <script src>, можно было получить данные авторизованного пользователя. Т.е. владелец сайта мог узнать настоящие почтовые ящики того, кто посетил его сайт, и что самое критичное, для сбора данных даже нет нужды заманивать человека на свой сайт, достаточно написать кому то сообщение (на форумах, соц сетях и тд), указав в сообщении <img src> с указанием ссылки на свой сайт, а на самом сайте править htaccess AddType application/x-httpd-php52 .jpg
Польза зависит от фантазии. Такая же уязвимость была и на yandex, сейчас не помню api адреса яндекса.
Mail.ru исправил уязвимость тем, что начал проверять Origin / Referer, и этого хватило, чтобы "закрыть" уязвимость, т.к. js не умеет отправлять Referer. Обходится с некоторыми усилиями через протокол data:.
С Кивимяки смущает момент, что оплата за аренду всех этих машин шла с личной банковской карты Кивимяки. Хранить компромат на себя на сервере, который оплатил с личной банковской карты - это странно для профи.
Вместе с 10,9 гигабайтами данных пациентов в сеть утекло кое-что ещё — домашний каталог пользователя с сервера, с которого велась публикация. Оплата за аренду всех этих машин шла с личной банковской карты Кивимяки.
Был такой персонаж Карим Баратов, известный на форумах 2010-2012 гг (античат, ксакеп и тд) тем, что задолбал всех.
Профессиональный, 14-летний скрипт кидди. Использовал фишинговые страницы, скачанные с форумов, не умея их даже переписать под себя.
Впервые с ним столкнулся, когда он обратился в 2009 году с просьбой починить простой скрипт js и предложил за это 200$. Ща не помню точно, но вроде javascript открывал фрейм на весь экран с z-index: 10000. Всего 4-5 строк кода и такая щедрая оплата. Клиент запомнился.
После он несколько раз попытался взломать мою почту, присылая мне фишинговые письма, но потом сдался, когда я поменял пароли на его почте, в ответ на его письма.
Пояснение: размещенные на форумах фишинговые скрипты по умолчанию сохраняли пароли в base.txt, и любой фишинговый сайт Карима сохранял пароли в этот же файл. И самое тупое, что Карим Баратов всегда проверял свои фишинговые страницы на своих же почтовых ящиках, и поэтому, если Карим прислал вам фишинговое письмо с сайтом rnail.ru/login.php (не MAIL.RU, а RNAIL.RU), то зная, что Карим в коде не разбирается вовсе и открыв страницу rnail.ru/base.txt, вы получали доступы к почтовым ящикам самого Карима, на которых он предварительно тестировал этот фишинговый домен.
Алгоритм действий у него был простой: 1. заплати сео, чтобы несколько твоих сайтов по запросу "взлом почты на заказ" были на первом месте в гугл, и получи клиентов на свои услуги. 2. сделай рассылку фишинговых писем на почтовые ящики жертв, которых заказали клиенты. 3. если фишинговые письма не сработали в течении 1-2 недель, сделай еще одну рассылку, но уже на почтовые ящики клиентов, с угрозой, чтобы если они не заплатят, то ты раскроешь жертвам или полиции информацию о том, что клиент их заказал, с якобы подробной информацией о клиенте. - Итого, ему платили или за взлом, или за нераскрытие информации жертве.
Позже он купил у кого-то ботнет, и шантажировал всех ДДОС атакой.
Энергичный и богатый Буратино. Все покупал. Ни от кого не скрывался. Жил в Канаде. Публиковал свои фотографии, даже домены для фишинговых сайтов брал на свое имя или на имя своего отца.
А через несколько лет услышал про него в новостях. Его арестовали в Канаде, и внезапно, он стал известен как Хакер Карим Баратов. Возможно, что Кивимяки такой же хакер, как Карим Баратов.
Лет 10 назад бумажные самоучители были настольными книгами. Потом их заменил электронными версиями.
Сейчас в столе лежат бумажные книги по git, laravel, паттернам ООП, которые собирают пыль.
На компе папка "Библиотека IT" (806 книг на 10 гб, и 380 видео уроков на 90 гб). Редко открываю эту папку, 1 раз в год, когда больше суток нет интернета.
LLM (с определенными настройками) заменил книжных и ютуб учителей.
Например, в Qwen диалоги распределены по группам и темам. Зашел в нужный диалог, прочел/вспомнил нужную деталь. Если что непонятно, спросил/уточнил. В каждом диалоге только вопросы/ответы по теме диалога. Как глава книги, только с подробностями и примерами. В диалоге про Git не спрашиваем о Javascript, и не захламляем диалог.
Итого - это та же самая онлайн книга, только в этой книге можно задавать уточняющие вопросы до тех пор, пока не поймешь тему вопроса.
Электронная книга проиграла эту битву. Бумажные книги станут "актуальными", если РКН продолжит свою вакханалию и вконец угробит интернет. Только без интернета, бумажные книги про IT станут такими же полезными, как справочники по феям и драконам.
ilapinsky, скопировал все ваши сообщения и отправил разным ИИ с просьбой составить психологический портрет автора на основе комментариев, без лести и критики, было интересно почитать.
Завершающий штрих от Qwen:
Кстати, для сравнения, сделал ровно то же самое со своими сообщениями, и Qwen точно определил, чем я занимаюсь и какие возможные события привели к моему текущему мышлению.
Статья является пиаром HH Brother, как и другие последние статьи от вас😒.
Дополнительная информация после анализа расширения HH Brother.
HH Brother НЕ шлет на внешний hhbro.ru личные и авторизационные данные.
HH Brother в content-script.js использует innerHTML с вставкой данных, полученных с hhbro.ru, что может спровоцировать XSS. Тут остается только доверять, что все данные с hhbro.ru и помыслы разработчика будут чистыми.
Расширение безопасно и соответствует заявленному функционалу.
Человек решает отвечать или не отвечать в конкретном теме в соответствии со своей компетенцией, интересом или настроением. Как это решает ИИ? Ведь ИИ "компетентен" практически во всех темах, значит, в каждой теме должны быть ответы от всех ИИ. А если ИИ отвечает и на сообщения других ИИ, как он определяет, на какое сообщение ответить, а какое проигнорировать ?
По работе регулярно нужно настроить albato для связи с sbis.
Albato и его документация coda.io недоступны без VPN
Sbis недоступен с VPN
В день раз 20 то включаешь впн, то выключаешь, чтобы просто делать свою работу. Никаких ДП и экстремистскими материалами тут и не пахнет, но весьма мешает работать.
Смысл статьи в том, чтобы дважды разместить ссылку на телеграм ? А то в статье описываются и обсасываются очевидные вещи, или как говорила моя бабушка "ты рассказываешь то, что известно всем".
А зачем в названии статьи "почему VPN БОЛЬШЕ не спасает" ?
Разве VPN спасал от Fingerprint ?
Он. Тихий модер раздела "Социальные сети" и... один из лучших исследователей веб-безопасности в RU секторе, создатель уникальных векторов атак и авторских 0-day.
Вы задали вопрос, чтобы начать спорить или получить ответ?)
Способ, который позволяет залезть в голову пользователю в среде, которую контролирует разработчик - это дыра, которую разработчик не закрыл. Один только Google столько всего придумал против фишинга, что многие способы залезть в голову пользователю google, казавшиея вечными, перестали работать.
Проблемы с фишинговыми ссылками решались по разному, например, варианты навскидку:
1. Подгрузка сайта по ссылке в небольшом фрейме в самом сообщении с переходом по всем редиректам вполне себе покажет, как выглядит конечная точка, без необходимости клика по ссылке.
2. Любая ссылка в мессенджере открывается только через промежуточный прокси адрес, вроде checklink.max.ru, который на 2-3 секунды задержит открытие ссылки, но предварительно проверит безопасность ссылки.
3.1 Проверять домен из ссылки на давность регистрации, указывая у новых доменов, что он зарегистрирован недавно.
3.2 Автоматически проверять ссылки на наличие редиректа, будь то редирект Location, или другой редирект, и помечать такие ссылки как сомнительные.
4. При запросе токена на авторизацию, проверять наличие и время активной сессии в момент запроса токена, и если активная сессия присутствует и время соответствует моменту отправки запроса, слать сообщение на номер телефона с уведомлением вроде, что пользователь уже авторизован в устройстве iPhone, и вводить код только в том случае, если пользователь пытается авторизоваться в другом устройстве. Что то в этом роде.
Это дыра? - Да.
Ее можно закрыть? - Да.
Дыра критичная? - Да, если судить по последствиям для жертвы. Нет, если судить по масштабу урона для Макса.
ps. Надеюсь, вы не Великий M_Script. Стиль письма похож.
Кстати, они там миллионы потому и зарабатывают, потому что это легко. Как только становится тяжело зарабатывать миллионы в одной сфере, то они бросают эту сферу и переходят в ту сферу, где все еще легко зарабатывать миллионы. У них нет цели тратить тыщу в месяц, если это не окупается в десятки раз. А меньшая окупаемость в этой сфере невыгодна.
Нет проверки Origin / Referer на /api/send-code
Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод
Нет серверного rate-limit’а по характеру источника
Нет push-подтверждения в активные сессии пользователя при попытке нового входа
Автор с пояснениями написал про эти уязвимости и как их закрыть.
Пояснение пункта 1 на практике.
На https://auth.mail.ru/cgi-bin/auth?mac=1 была такая уязвимость, что подключив этот адрес на своем сайте через <script src>, можно было получить данные авторизованного пользователя. Т.е. владелец сайта мог узнать настоящие почтовые ящики того, кто посетил его сайт, и что самое критичное, для сбора данных даже нет нужды заманивать человека на свой сайт, достаточно написать кому то сообщение (на форумах, соц сетях и тд), указав в сообщении <img src> с указанием ссылки на свой сайт, а на самом сайте править htaccess
AddType application/x-httpd-php52 .jpgПольза зависит от фантазии.
Такая же уязвимость была и на yandex, сейчас не помню api адреса яндекса.
Mail.ru исправил уязвимость тем, что начал проверять Origin / Referer, и этого хватило, чтобы "закрыть" уязвимость, т.к. js не умеет отправлять Referer. Обходится с некоторыми усилиями через протокол
data:.Попробуй хоть что нибудь вытянуть в беседе с любой китайской моделю про события 1989 года на площади Тяньаньмэнь :)
В новостях Баратов выглядит очень крутым.
С Кивимяки смущает момент, что оплата за аренду всех этих машин шла с личной банковской карты Кивимяки. Хранить компромат на себя на сервере, который оплатил с личной банковской карты - это странно для профи.
Был такой персонаж Карим Баратов, известный на форумах 2010-2012 гг (античат, ксакеп и тд) тем, что задолбал всех.
Профессиональный, 14-летний скрипт кидди. Использовал фишинговые страницы, скачанные с форумов, не умея их даже переписать под себя.
Впервые с ним столкнулся, когда он обратился в 2009 году с просьбой починить простой скрипт js и предложил за это 200$. Ща не помню точно, но вроде javascript открывал фрейм на весь экран с z-index: 10000.
Всего 4-5 строк кода и такая щедрая оплата. Клиент запомнился.
После он несколько раз попытался взломать мою почту, присылая мне фишинговые письма, но потом сдался, когда я поменял пароли на его почте, в ответ на его письма.
Пояснение: размещенные на форумах фишинговые скрипты по умолчанию сохраняли пароли в base.txt, и любой фишинговый сайт Карима сохранял пароли в этот же файл. И самое тупое, что Карим Баратов всегда проверял свои фишинговые страницы на своих же почтовых ящиках, и поэтому, если Карим прислал вам фишинговое письмо с сайтом rnail.ru/login.php (не MAIL.RU, а RNAIL.RU), то зная, что Карим в коде не разбирается вовсе и открыв страницу rnail.ru/base.txt, вы получали доступы к почтовым ящикам самого Карима, на которых он предварительно тестировал этот фишинговый домен.
Алгоритм действий у него был простой:
1. заплати сео, чтобы несколько твоих сайтов по запросу "взлом почты на заказ" были на первом месте в гугл, и получи клиентов на свои услуги.
2. сделай рассылку фишинговых писем на почтовые ящики жертв, которых заказали клиенты.
3. если фишинговые письма не сработали в течении 1-2 недель, сделай еще одну рассылку, но уже на почтовые ящики клиентов, с угрозой, чтобы если они не заплатят, то ты раскроешь жертвам или полиции информацию о том, что клиент их заказал, с якобы подробной информацией о клиенте.
- Итого, ему платили или за взлом, или за нераскрытие информации жертве.
Позже он купил у кого-то ботнет, и шантажировал всех ДДОС атакой.
Энергичный и богатый Буратино. Все покупал. Ни от кого не скрывался. Жил в Канаде. Публиковал свои фотографии, даже домены для фишинговых сайтов брал на свое имя или на имя своего отца.
А через несколько лет услышал про него в новостях. Его арестовали в Канаде, и внезапно, он стал известен как Хакер Карим Баратов.
Возможно, что Кивимяки такой же хакер, как Карим Баратов.
Лет 10 назад бумажные самоучители были настольными книгами. Потом их заменил электронными версиями.
Сейчас в столе лежат бумажные книги по git, laravel, паттернам ООП, которые собирают пыль.
На компе папка "Библиотека IT" (806 книг на 10 гб, и 380 видео уроков на 90 гб). Редко открываю эту папку, 1 раз в год, когда больше суток нет интернета.
LLM (с определенными настройками) заменил книжных и ютуб учителей.
Например, в Qwen диалоги распределены по группам и темам. Зашел в нужный диалог, прочел/вспомнил нужную деталь. Если что непонятно, спросил/уточнил. В каждом диалоге только вопросы/ответы по теме диалога. Как глава книги, только с подробностями и примерами. В диалоге про Git не спрашиваем о Javascript, и не захламляем диалог.
Итого - это та же самая онлайн книга, только в этой книге можно задавать уточняющие вопросы до тех пор, пока не поймешь тему вопроса.
Электронная книга проиграла эту битву.
Бумажные книги станут "актуальными", если РКН продолжит свою вакханалию и вконец угробит интернет. Только без интернета, бумажные книги про IT станут такими же полезными, как справочники по феям и драконам.
ilapinsky, скопировал все ваши сообщения и отправил разным ИИ с просьбой составить психологический портрет автора на основе комментариев, без лести и критики, было интересно почитать.
Завершающий штрих от Qwen:
Кстати, для сравнения, сделал ровно то же самое со своими сообщениями, и Qwen точно определил, чем я занимаюсь и какие возможные события привели к моему текущему мышлению.
Это про меня.
Информация, которую вы забыли указать:
HH Brother платный, на сайте указано "плати только за AI-действия, которые реально используешь.".
У HH Brother 90% функционала это действия AI, значит, это платное расширение.
HH Brother - это ваш собственный продукт.
Статья является пиаром HH Brother, как и другие последние статьи от вас😒.
Дополнительная информация после анализа расширения HH Brother.
HH Brother НЕ шлет на внешний hhbro.ru личные и авторизационные данные.
HH Brother в content-script.js использует innerHTML с вставкой данных, полученных с hhbro.ru, что может спровоцировать XSS. Тут остается только доверять, что все данные с hhbro.ru и помыслы разработчика будут чистыми.
Расширение безопасно и соответствует заявленному функционалу.
Желаю автору удачи👍.
Человек решает отвечать или не отвечать в конкретном теме в соответствии со своей компетенцией, интересом или настроением.
Как это решает ИИ?
Ведь ИИ "компетентен" практически во всех темах, значит, в каждой теме должны быть ответы от всех ИИ.
А если ИИ отвечает и на сообщения других ИИ, как он определяет, на какое сообщение ответить, а какое проигнорировать ?
А куда пропал этот текст ?
К сожалению, только теория, самостоятельного практического опыта не было. Необходимость назрела.
Спасибо за подсказку, так и сделаю.
По работе регулярно нужно настроить albato для связи с sbis.
Albato и его документация coda.io недоступны без VPN
Sbis недоступен с VPN
В день раз 20 то включаешь впн, то выключаешь, чтобы просто делать свою работу. Никаких ДП и экстремистскими материалами тут и не пахнет, но весьма мешает работать.
Поставить эмулятор Android на комп.
Установить туда Max.
Месье знает толк в извращениях.)
у вас ссылка http://kimi.com/ и она не работает, правильная ссылка через ssl и www, - https://www.kimi.com/
Смысл статьи в том, чтобы дважды разместить ссылку на телеграм ?
А то в статье описываются и обсасываются очевидные вещи, или как говорила моя бабушка "ты рассказываешь то, что известно всем".